文章目录
-
* 1 逆向分析技术有什么用-
* 1.1 加壳 - 2 常用工具
-
* 2.1 查壳-
* 2.1.1 PEID- 2.1.2 EXEINFO
- 2.1.3 Detect It Easy
- 2.2 查询可执行文件信息
-
* 2.2.1 loadpe- 2.2.2 PE Tools
- 2.2.3 StudyPE
- 2.3 调试工具
-
* 2.3.1 Ollydbg- 2.3.2 X64dbg
- 2.4 修改文件内容
-
* 2.4.1 C32asm - 2.5 资源文件
-
* 2.5.1 Restorator - 2.6 Cheat Engine
-
* 2.6.1 查找dll文件基址
-
- 3 软件安全防护
-
* 3.1 试用版- 3.2 暗装
- 3.3 VMProtect
- 3.4 检测MD5
- 3.5 网络验证
- 3.6 保护字符串
-
1 逆向分析技术有什么用
软件安全是信息安全领域的重要内容,设计到软件相关的加密、解密、逆向分析、漏洞分析、安全编程以及病毒分析等。
哈喽,大家好,我是《有勇气的牛排》(全网同名)🐮🐮🐮
有问题的小伙伴欢迎在文末/评论,点赞、收藏/是对我最大的支持!!!。
1.1 加壳
- 加壳(可执行程序资源压缩):压缩后的程序可以直接运行。
- 加壳的另一种方式是在二进制程序中植入一段代码,在运行的时候优先取得程序的控制权,之后在把控制权交还给原始代码,这样做得目的是隐藏程序真正的OEP(入口点,防止被破解,查壳就是为了找它)。
- 加壳可以绕过一些杀毒软件的扫描(免杀)
加壳分类:
- 压缩壳:特点是减小软件体积大小,加密保护不是重点。
- 加密壳:此种类型比较多,不同壳侧重点不同,如单纯保护程序、提供注册机制、使用次数、使用限制等。
2 常用工具
2.1 查壳
查询可执行文件是否加壳或加密
2.1.1 PEID
可以将执行软件拖入如下界面(非快捷方式)。
也可以使用该工具脱壳
2.1.2 EXEINFO
ExeInfo PE
是一款免费可执行程序信息检查工具,它具有可以帮助开发人员对程序进行编译的功能。可以查看EXE/dll文件的编译器信息、是否加壳、入口点地址、输出表/输入表等等Pe信息,帮助开发人员对程序进行分析和逆向。
2.1.3 Detect It Easy
Detect It
Easy简称Die,是一款专业查壳工具,比PEID强大得多,能查一次查到底。并支持超大文件读取,其他查壳工具无法打开的程序,这个都能读取。虽然没有PEID出名,但是相当的强大,完全可以替代PEID。
2.2 查询可执行文件信息
exe、com、bat、dll
查看动态链接库、进程、汇编代码等
2.2.1 loadpe
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
2.2.2 PE Tools
PE 工具可让您积极研究PE 文件和流程。 Process Viewer和 PE 文件Editor, Dumper, Rebuilder,
Comparator,Analyzer包括在内。 PE Tools是一个老派的逆向工程工具,从2002. PE Tools 最初是受到 LordPE
(yoda) 的启发。
https://github.com/petoolse/petools/releases/tag/v1.9.762
2.2.3 StudyPE
2.3 调试工具
2.3.1 Ollydbg
1 、 导航条介绍
步进:(F7)
步过:(F8)
l:log data,扫描导入库
e:Executable modules,程序运行加载的动态库
t:Theeads,当前线程
- 当附加的进程点击运行后若无法运行,可能是被挂起,此时点击t,对挂起的地方,resume all threads
w:Windows,窗口
h:Handles,句柄
c:主线程模块,当前可运行的汇编代码
p:Patches,显示已修改的代码
k:调用堆栈(哪里进去、哪里出来)
b:Breakpoints,显示断点。
r:References
2 、 窗口介绍
数据窗口快捷方式:
dd 地址:仅找地址
dc 地址:找地址+内容
3 、 快捷键
Ctrl+B:查找二进制字符串
易语言按钮定位:FF 55 FC 5F 5E
Ctrl+G:跟随地址表达式(找地址)
- 双击 加断点
4、指定程序运行位置起点
5、手动注入dll
StrongOD->InjectDLL->Remote Thread
2.3.2 X64dbg
x64dbg,程序逆向反汇编修改神器,免费开源x64/x32位动态调试器,适用Windows的专业程序调试器,软件支持中文界面和插件,界面及操作方法与OllyDbg调试工具类似,支持类似C表达式解析器、DLL和EXE文件调试、IDA式的跳跃箭头与侧边栏、动态识别模块指令、反汇编、自动化可调试的脚本语言等诸多实用逆向分析功能。x64dbg调试器主要分为三部分载体:DBG是调试器的调试功能部分,它处理调试技术(使用的
TitanEngine),并为GUI提供数据。GUI是调试器的图形部分,它采用的Qt编程语言,提供用户交互界面。Bridge是DBG和GUI部分的通信库,它可以用在新建功能上工作,而无需更新汇编代码的其它部分。
官网:https://x64dbg.com/
2.4 修改文件内容
2.4.1 C32asm
C32asm是一款非常好用的反汇编软件,其功能已强于winhex
16、W32Dasm。该款的反汇编软件C32asm具有反汇编模式和十六进制编辑模式,能跟踪exe文件的断点,也可直接修改软件内部代码。
优点:
- 快速静态反编译PE格式文件(Exe、Dll等)
- c32asm反汇编软件提供hex文件编辑功能,功能强大
- 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能
- 提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐
- c32asm反汇编软件提供反编译语句彩色语法功能,方便阅读分析,能方便自定义语法色彩
- 提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示
- c32asm反汇编软件提供方便的跳转、调用目标地址的代码显示
- 提供汇编语句逐字节分析功能,有助于分析花指令等干扰代码。
2.5 资源文件
资源编辑、查看
2.5.1 Restorator
Restorator 是一个简单易用的的软件资源及用户界面编辑软件,它对 DELPHI 和 C
程序的支持尤佳,是对软件进行本地化处理的理想工具。Restorator
软件功能强大除了一般的编辑操作外,还可以对资源进行导入导出、批量修改语言设置等操作,甚至可以利用“资源补丁”创建不受版权限制的补丁程序!
2.6 Cheat Engine
可以使用此工具搜索软件进程中的用户名等信息,以及值变化等。
查看内存时,可用Ctril+G进行搜索地址
2.6.1 查找dll文件基址
3 软件安全防护
3.1 试用版
即删减功能
3.2 暗装
使用多种算法不定时验证
3.3 VMProtect
vmp会在原有程序基础上加上很多混淆代码,导致破解者在很长时间内调试无果而放弃。
易语言
' 开始标志
置入代码 ({ 235, 16, 86, 77, 80, 114, 111, 116, 101, 99, 116, 32, 98, 101, 103, 105, 110, 0 })
要保护的代码
' 结束标志
置入代码 ({ 235, 14, 86, 77, 80, 114, 111, 116, 101, 99, 116, 32, 101, 110, 100, 0 })
3.4 检测MD5
检测主程序的MD5、大小、创建时间等,还有程序防止别人下断点调试(CRC检测),下断点就内存报错。
3.5 网络验证
- 通过请求返回字段的方式比较鸡肋
- 另一种方式通过“补码”,相对安全
3.6 保护字符串
字符串在注册模块中非常重要,当一个富有经验的Cracker破解软件时,首先做得就是窃取字符串,比如输入错误的字符串,然后可以通过提示的字符串用OllyDbg进行断点调试,或者用你WinDASM、IDA
Pro等静态分析工具在被它脱壳后的程序中查找那个字符串,找到后在分析,因此,一定要加密字符串,使用时临时解密出来,并且尽量少使用消息提示框,避免出现被发现漏洞,加密字符串无需过复杂,随便一个快速的对称算法即可。
参考地址:
[1] https://www.bilibili.com/video/BV135411u7HR
https://www.couragesteak.com/article/311
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
6251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
